Las Botnets en el Código Penal

En los últimos tiempos nos encontramos con demasiada frecuencia en los medios de comunicación multitud de noticias relacionadas con las Nuevas Tecnologías y con los delitos relacionados con ellas.

En este sentido, el pasado mes de mayo tuvimos conocimiento de una de las mayores operaciones policiales contra grupos organizados que operan a través de Internet que se saldó con la detención de tres españoles, integrantes de una red delictiva que llegó a controlar 13 millones de ordenadores, desde la que tuvieron acceso a información personal y confidencial de casi un millón de usuarios en más de 190 países.

Estas redes de control de ordenadores se denominan botnets.

-Qué son las botnets:

Las botnets son redes de ordenadores infectados o zombies, controlados por el propietario de los bots (robots informáticos), que puede controlarlos a distancia para multitud de fines, casi siempre delictivos.

El modus operandi de las botnets es, aparentemente, sencillo: un pirata informático crea un virus y lo sube a la red, con el objetivo de que se contagien los ordenadores a ella conectados. Este contagio se produce, por lo general, cuando el usuario accede a determinadas páginas web de dudosa seguridad o se descarga y ejecuta cracks.

En el momento en que un ordenador se contagia, el virus se encarga de descargar un bot, esto es, un malware que agrega al PC a una red de ordenadores zombies, controlada por una sola persona, denominada botmaster.

Una vez que el PC se integra en la botnet se puede utilizar y controlar a distancia para infinidad de cosas: robo de datos personales o bancarios, acceso a direcciones de e-mail, contratar on-line, descarga de ficheros, ataques DDoS, utilización de espacio en el disco duro para almacenar información, etc. En definitiva, el botmaster puede utilizar el PC a su antojo, sin el consentimiento ni conocimiento de su usuario.

-Tipo delictivo: regulación en el nuevo Código Penal:

El pasado 23 de junio se publicó en el BOE la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica el Código Penal, en la que, entre otras cosas, se tipifican como delito los ataques informáticos. Reforma que entrará en vigor a los 6 meses de su publicación.

Hasta ahora, este tipo de ataques no tenían una regulación específica en el Código Penal porque, entendemos, ello no era necesario, ya que se trata de delitos ya existentes, con la única peculiaridad de que el instrumento utilizado para su comisión es Internet.

En este sentido, la Comisión Europea ya definió el ciberdelito como «la actividad delictiva o abusiva relacionada con los ordenadores y las redes de comunicaciones, bien porque se utilice el ordenador como herramienta del delito, bien porque sea el sistema informático (o sus datos) el objetivo del delito».

Igualmente, la Conferencia Internacional de Cibercrimen, que tuvo lugar el 23 de noviembre de 2001 ya establecía que los ciberdelitos eran tipos delictivos ya existentes que se podían encuadrar en cuatro grandes grupos: delitos de intrusión, patrimoniales, de contenido y de infracción de la propiedad intelectual y derechos conexos.

Pues bien, las botnets se podrían encuadrar en estos delitos de intrusión, que, ya hace nueve años, incluían infracciones contra la intimidad, confidencialidad, integridad y disponibilidad de datos y sistemas informáticos.

Por tanto, según la actual regulación penal, los delitos cometidos a través de las botnets se podrían calificar como delitos contra la intimidad, regulados en el artículo 197 del CP y delitos de daños de los artículos 263 y 264 del CP. Es más, el Código Penal recoge en ambos tipos delictivos los términos correo electrónico, telecomunicaciones, programas, documentos electrónicos, redes, soportes y sistemas informáticos, lo que hace patente la tipificación de las botnets sin necesidad de reforma alguna.

Todo ello nos lleva necesariamente a la siguiente cuestión: ¿era necesaria esta regulación específica introducida por la reforma del Código Penal? ¿O era suficiente la ya existente?

La respuesta, en nuestra opinión parece obvia: las botnets, al igual que muchos otros de los denominados erróneamente nuevos delitos como el phising, pharming, cracking, counterfeiting, ya están tipificadas con la regulación existente, sin que fuera necesaria una reforma en nuestro Código Penal.

Muestra de ello son las operaciones policiales y detenciones llevadas a cabo contra las botnets, y que sin duda se seguirán produciendo durante estos seis meses de vacatio legis, que no podrían realizarse de no ser ya conductas tipificadas como delito.

Autora: Elena Ballesteros (ECIJA)

Puede leer el texto íntegro de la Sección «Marketing y Gestión» en el documento adjunto.

...